2022年,卡巴斯基解決方案檢測(cè)到超過(guò)7420萬(wàn)次勒索軟件攻擊,比2021年(6170萬(wàn))增加了20%。盡管2023年初勒索軟件攻擊數(shù)量略有下降,但它們更復(fù)雜,目標(biāo)更明確。
去年,卡巴斯基實(shí)驗(yàn)室介紹了今年的三個(gè)趨勢(shì):
1.攻擊者試圖開(kāi)發(fā)跨平臺(tái)勒索軟件,使其盡可能具有適應(yīng)性;
2.勒索軟件生態(tài)系統(tǒng)正在進(jìn)化,變得更加工業(yè)化;
3.勒索組織開(kāi)始參與地緣政治;
這些趨勢(shì)至今還存在,研究人員偶然發(fā)現(xiàn)了一個(gè)新的多平臺(tái)勒索軟件家族,它同時(shí)針對(duì)Linux和Windows。研究人員將其命名為RedAlert/N13V。該勒索軟件專注于非Windows平臺(tái),支持在ESXi環(huán)境中阻止虛擬機(jī),這樣可以掩蓋其意圖。
另一個(gè)勒索軟件家族LockBit顯然攻擊能力較強(qiáng)。安全研究人員發(fā)現(xiàn)了它的介紹,其中包含了針對(duì)一些不太常見(jiàn)的平臺(tái)(包括macOS和FreeBSD)以及各種非標(biāo)準(zhǔn)處理器架構(gòu)(如MIPS和SPARC)的惡意軟件測(cè)試版本。
至于第二種趨勢(shì),研究人員看到 BlackCat(又名 ALPHV)在年中調(diào)整了TTP。他們注冊(cè)的域名看起來(lái)像是被攻擊組織的域名,建立了像“我被勒索了嗎”這樣的網(wǎng)站。受攻擊組織的員工可以使用這些網(wǎng)站來(lái)檢查他們的名字是否出現(xiàn)在被盜數(shù)據(jù)中,從而增加了受影響組織支付贖金的壓力。
盡管研究人員去年發(fā)現(xiàn)的第三種趨勢(shì)是勒索軟件組織在地緣政治沖突中有意偏袒一方,但這并不完全適用于他們。有一個(gè)特殊的樣本:一個(gè)名為“Eternity”的惡意軟件。其開(kāi)發(fā)者聲稱該惡意軟件被用于地緣政治沖突后,研究人員的研究表明,圍繞 Eternity存在一個(gè)完整的惡意軟件生態(tài)系統(tǒng),包括一個(gè)勒索軟件變體。文章發(fā)表后,開(kāi)發(fā)者確保該惡意軟件不會(huì)影響烏克蘭用戶,并在該惡意軟件中包含一條親烏克蘭的消息。
2022年勒索軟件的格局還受到了哪些因素的影響
研究人員報(bào)道了RedAlert/N13V、Luna、Sugar、Monster等的出現(xiàn)。然而,在2022年看到的最活躍的家族是BlackBasta。當(dāng)研究人員在2022年4月發(fā)布關(guān)于BlackBasta的初步報(bào)告時(shí),里面只提到一名受害者,但自那以后,數(shù)量急劇增加。與此同時(shí),惡意軟件本身也在迭代,增加了一種基于LDAP的自我傳播機(jī)制。后來(lái),研究人員發(fā)現(xiàn)了一個(gè)針對(duì)ESXi環(huán)境的BlackBasta版本,最近的版本支持x64架構(gòu)。
如上所述,當(dāng)有新的組織出現(xiàn)時(shí),舊的組織也就被淘汰了,如REvil和Conti。Conti是其中最臭名昭著的一個(gè),自從他們的源代碼被泄露到網(wǎng)上并被許多安全研究人員分析以來(lái),他們受到了最多的關(guān)注。
最后,像Clop這樣的其他組織在去年加大了攻擊力度,在2023年初達(dá)到頂峰,因?yàn)樗麄兟暦Q使用一個(gè)零日漏洞攻擊了130個(gè)組織。
有趣的是,在過(guò)去一年中,最具影響力和最多產(chǎn)的五大勒索軟件組織(根據(jù)其數(shù)據(jù)泄露網(wǎng)站上列出的受害者數(shù)量)發(fā)生了巨大變化。現(xiàn)已解散的REvil和Conti在2022年上半年的攻擊次數(shù)分別排在第二和第三位,在2023年第一季度被Vice Society和BlackCat所取代。2023年第一季度排名前五的其他勒索軟件組織是Clop和Royal。
按公布的受害者數(shù)量排名前五的勒索軟件組織
從事件響應(yīng)的角度來(lái)看勒索軟件
去年,全球應(yīng)急響應(yīng)小組(GERT)處理了許多勒索軟件事件。事實(shí)上,這是他們面臨的頭號(hào)挑戰(zhàn),盡管2022年勒索軟件的份額比2021年略有下降,從51.9%降至39.8%。
就初始訪問(wèn)而言,GERT調(diào)查的近一半(42.9%)示例涉及利用面向公眾的設(shè)備和應(yīng)用程序中的漏洞,如未修補(bǔ)的路由器、Log4j日志實(shí)用程序的易受攻擊版本等。第二類示例包括被盜帳戶和惡意電子郵件。
勒索軟件組織使用的最流行的工具每年都保持不變。攻擊者使用PowerShell收集數(shù)據(jù),使用Mimikatz升級(jí)權(quán)限,使用PsExec遠(yuǎn)程執(zhí)行命令,或使用Cobalt Strike等框架進(jìn)行所有攻擊。
研究人員對(duì)2023年趨勢(shì)的預(yù)測(cè)
當(dāng)研究人員回顧2022年和2023年初發(fā)生的事件,并分析各種勒索軟件家族時(shí),他們?cè)噲D弄清楚接下來(lái)可能會(huì)發(fā)生什么。通過(guò)這些觀察研究人員得出了三個(gè)潛在趨勢(shì),我們認(rèn)為這些趨勢(shì)將影響2023年接下來(lái)的威脅格局。
趨勢(shì)1:更多嵌入式功能
研究人員看到一些勒索軟件組織在2022年擴(kuò)展了其惡意軟件的功能,最值得注意的新增功能是自我傳播,如上所述,BlackBasta通過(guò)使用LDAP庫(kù)獲取網(wǎng)絡(luò)上可用計(jì)算機(jī)的列表來(lái)開(kāi)始自我傳播。
LockBit在2022年增加了所謂的“自擴(kuò)展”功能,為運(yùn)營(yíng)商節(jié)省了手動(dòng)運(yùn)行PsExec等工具的工作量。至少,這是“自我傳播”通常所暗示的。實(shí)際上,這只不過(guò)是一個(gè)憑證轉(zhuǎn)儲(chǔ)功能,在后來(lái)的版本中被刪除了。
例如,Play勒索軟件確實(shí)有一種自我傳播機(jī)制。它收集啟用了SMB的不同IP,建立與這些IP的連接,掛載SMB資源,然后自我復(fù)制并在目標(biāo)計(jì)算機(jī)上運(yùn)行。
最近,許多臭名昭著的勒索軟件組織都采用了自我傳播,這表明這將會(huì)成為一種攻擊趨勢(shì)。
趨勢(shì)2:驅(qū)動(dòng)器濫用
濫用易受攻擊的驅(qū)動(dòng)程序達(dá)到惡意目的可能是老套路了,但它仍然很有效,尤其是在殺毒驅(qū)動(dòng)程序上。Avast Anti-Rootkit內(nèi)核驅(qū)動(dòng)程序包含某些漏洞,這些漏洞以前就曾被AvosLocker利用過(guò)。2022年5月,SentinelLabs詳細(xì)描述了驅(qū)動(dòng)程序中的兩個(gè)新漏洞(CVE-2022-26522和CVE-2022-206523)。這些漏洞后來(lái)被AvosLocker和Cuba勒索軟件家族利用。
殺毒驅(qū)動(dòng)程序并不是唯一被攻擊者濫用的驅(qū)動(dòng)程序。研究人員最近發(fā)現(xiàn)了一名勒索軟件攻擊者濫用Genshin Impact反作弊驅(qū)動(dòng)程序,使用它來(lái)終止目標(biāo)設(shè)備上的終端保護(hù)。
驅(qū)動(dòng)器濫用趨勢(shì)還在繼續(xù)演變,卡巴斯基報(bào)告的最新病例相當(dāng)奇怪,因?yàn)樗环锨皟深愔械娜魏我活。合法的代碼簽名證書,如英偉達(dá)泄露的證書和科威特電信公司的證書,被用來(lái)簽署惡意驅(qū)動(dòng)程序,該驅(qū)動(dòng)程序隨后被用于針對(duì)阿爾巴尼亞組織的wiper攻擊。wiper 使用rawdisk驅(qū)動(dòng)程序直接訪問(wèn)硬盤。
趨勢(shì)3:采用其他家族的代碼以攻擊更多目標(biāo)
主要的勒索軟件組織正在從泄露的代碼或從其他攻擊者那里購(gòu)買的代碼中借用功能,這可能會(huì)改善他們自己的惡意軟件的功能。
研究人員最近看到LockBit組織采用了至少25%的泄露的Conti代碼,并在此基礎(chǔ)上發(fā)展成了一個(gè)新版本。
總結(jié)
勒索軟件已經(jīng)存在多年,然后發(fā)展成為一個(gè)網(wǎng)絡(luò)犯罪行業(yè)。攻擊者一直在不斷嘗試新的攻擊戰(zhàn)術(shù)和程序。勒索軟件現(xiàn)在可以被認(rèn)為是一個(gè)成熟的行業(yè),我們預(yù)計(jì)短期內(nèi)不會(huì)有突破性的技術(shù)。
勒索軟件組織將繼續(xù)通過(guò)支持更多平臺(tái)來(lái)擴(kuò)大攻擊面。雖然對(duì)ESXi和Linux服務(wù)器的攻擊現(xiàn)在很常見(jiàn),但頂級(jí)勒索軟件組織正在努力瞄準(zhǔn)更多可能包含關(guān)鍵任務(wù)數(shù)據(jù)的平臺(tái)。研究人員最近發(fā)現(xiàn)了幾個(gè)示例,其中包含針對(duì)macOS、FreeBSD和非傳統(tǒng)CPU架構(gòu)(如MIPS、SPARC等)的LockBit勒索軟件的測(cè)試版本。
除此之外,攻擊者在操作中使用的TTP將繼續(xù)發(fā)展,上述的驅(qū)動(dòng)程序?yàn)E用技術(shù)就是一個(gè)很好的例子。
參考及來(lái)源:https://securelist.com/new-ransomware-trends-in-2023/109660/